Zabezpečení multimediálního přenosu v reálném čase

Zabezpečení doporučení H.323

Doporuční H.323 má zabezpečovací mechanismy definované pomocí protokolu H.235, který definuje zabezpečení pomocí několika profilů. Každý profil má jiný mechanismus zabezpečení, čímž zavádí různé úrovně zabezpečení. Použití zabezpečovacích profilů je volitelné.

Baseline security profile

Velké množství koncových zařízení, které podporují zabezpečení pomocí protokolu H.235, využívají právě tento profil. U tohoto profilu se používá pouze symetrické šifrování, konkrétně hashovací funkce HMAC-SHA-1, která zajišťuje autentičnost a integritu přenášených signalizačních dat pomocí sdíleného tajného hesla.

Signature security profile

Pro zajištění autentičnosti a integrity se u tohoto profilu využívá hashovací funkce SHA-1 nebo MD5 a elektronický podpis. V roce 2004 byly zjištěny chyby v algoritmu MD5 a proto se dnes MD5 prakticky nevyžívá a doporučuje se použít SHA-1, i když ani ten již dnes není považován za zcela bezpečný. Tento profil může mít dopad na výkonnost systému, protože každá zpráva vyžaduje generování elektronického podpisu na straně odesílatele a kontrolu na straně příjemce.

Hybrid security profile

Tento profil je založen jak na symetrických, tak i na nesymetrických algoritmech. Jedná se o kombinaci profilů Baseline security profile a Signature security profile. Certifikát a elektronický podpis je použit pro autentizaci a integritu zprávy při prvním handshake, kdy je domluveno tajné heslo.

Voice encryption security profile

Tento profil zajišťuje šifrování přenášeného obsahu. Definuje výměnu klíče master key pomocí protokolu H.225 a generování a distribuci klíče media stream key pomocí protokolu H.245. Je zde zavedena jednoduchá autentizace a integrita RTP paketů. Použité algoritmy jsou DES a SHA-1. Tento profil může být použit v kombinaci s výše popsanými profily.